撰文：Ben Weiss，财富杂志

编译：Luffy，Foresight News

3 月下旬，我收到了《财富》杂志 IT 管理员发来的一条令人不安的消息。「有一个进程正在暴露系统漏洞，」 他写到，有人可能已经潜入了我的电脑。「我需要终止它。」我瞬间慌了。

据 IT 部门事后查看的日志显示，我在当天上午 11:04 下载的一个文件，具备键盘记录、屏幕录制、窃取密码以及访问我各类应用的能力。

我立刻合上笔记本电脑，冲出布鲁克林的公寓，奔向最近的地铁站。在等地铁去公司的路上，我给编辑发消息：「我好像被朝鲜黑客钓鱼了，笑死。」

我一直都在报道朝鲜相关新闻，也知道这个国家专门针对美国投资者。但我万万没想到，这群臭名昭著的黑客会盯上我，还让我亲身体验了一把他们的欺骗手段有多高深。

感觉像骗局

这个 「隐士王国」 多年来一直在不断侵扰加密行业。由于受到制裁，朝鲜被全球金融体系拒之门外，朝鲜需要依靠国家支持的加密货币盗窃来维持运转。

加密数据分析公司 Chainalysis 的数据显示，仅 2025 年一年，与朝鲜有关黑客就窃取了价值 20 亿美元的加密货币，比前一年增加了约 50%。

朝鲜已经形成了一套屡试不爽的诱骗套路，包括说服企业雇佣他们担任 IT 员工，以及这次用来骗我的手段。

朝鲜黑客在 3 月中旬就布下了陷阱。诱饵是一条来自某对冲基金投资者的 Telegram 消息，这款应用也是加密行业最常用的通讯工具。这位投资者我不便透露姓名，他曾是我报道中的匿名线人。

他问我要不要认识一个叫 Adam Swick 的人，此人曾是比特币矿企 MARA Holdings 的首席战略官。我回复说可以，他一向很友好、也很靠谱，随后我被拉进了一个群聊。

他说，Swick 正在筹备成立一个新的数字资产财库，「已经有一位潜在的大型种子投资人」。这个项目听起来疑点重重，但我还是打算听听他要说什么。

他在 Telegram 上约我通话。一周后，这位线人发给我一个看起来像是 Zoom 会议的链接。我点了进去。

启动的程序界面看着和我每天用的 Zoom 差不多，但设计细节有点不对劲，而且音频完全没声音。系统提示我需要更新软件来修复音频问题，与此同时，Swick 发来消息：「看起来你那边 Zoom 出问题了。」我点击下载了更新包。

当我发现浏览器里的链接和 Telegram 发来的不一致时，瞬间警觉起来。我提议把会议换到 Google Meet。「这让我感觉像个骗局，」 我在群里对 Swick 和那位线人说。

Swick 还在坚持：「别担心，我在我的电脑上刚试过没问题。」

我没有在 Mac 上运行那个脚本，果断退出了 Zoom 会议。「想聊的话就用 Google Meet 吧。」 我在 Telegram 上回复道。我的线人立刻把我踢出了群聊。

病毒式连环入侵

我冲出公寓赶往 IT 部门的路上，给资深安全研究员 Taylor Monahan 发了消息。她是 SEAL 911 组织成员，这是一个帮助加密货币被盗受害者的志愿者团体。我把下载的脚本和视频会议链接发给了她。

「这是朝鲜黑客干的。」 她几秒钟后就回复了我。

如果我当时运行了那个脚本，黑客就会偷走我的密码、Telegram 账号，以及我持有的所有加密货币。幸运的是，我只持有少量比特币和几种其他加密资产。

黑客攻击的特性决定了很难 100% 确定幕后黑手，但在我这次险些中招的事件里，Monahan 告诉我，链接、脚本，甚至假冒 Swick 的账号，所有线索都指向朝鲜。调查人员会结合区块链分析等多重证据，将事件与朝鲜关联起来。另外两位长期追踪朝鲜黑客的安全研究员，在我把脚本和链接发给他们后，也证实了这一判断。

「替我跟他问个好哈哈。」 Monahan 说，指的是盯上我的那个朝鲜黑客。

Monahan 和其他安全研究员已经处理过数百起加密行业内的虚假视频会议钓鱼案件。这套套路模式化，但非常有效。

黑客会先控制一个真实用户的 Telegram 账号，然后联系其通讯录里的人。受害者被要求加入视频会议， 但通话中音频总是无法正常工作。然后受害者被诱导运行一个 「修复音频」 的更新程序。一旦运行脚本，黑客就能获取受害者的加密资产、密码，以及 Telegram 账号。

事实上，谷歌在周三发布的一份报告中称，针对我的这伙朝鲜黑客，同时也在策划一场针对广大软件开发人员的攻击。

我不是开着兰博基尼的比特币富豪，但 Monahan 告诉我，朝鲜黑客并不只针对有钱人。她发现，越来越多的加密行业记者成为目标，很可能是因为记者的 Telegram 里有大量人脉。这些联系人里，大概率藏着不少加密货币富豪。

就像病毒劫持健康细胞一样，黑客会攻陷这些账号，再去攻击账号里的联系人。我就是这么差点中招的。我以为自己在和熟人聊天，因此放松了警惕。

「假冒的我」

我彻底格式化电脑、修改所有密码，并再三感谢 IT 管理员后，最终给那位线人打了电话。不出所料，他的 Telegram 账号早在 3 月初就被盗了。

「我 Telegram 里有很多联系人，手机和电脑里都没存，」 他说。「但更让我难受的是，有人在冒充我，用我的身份去骗人，这种被侵犯的感觉太糟了。」

而且，尽管他在三周内多次联系 Telegram 寻求帮助，却一直没有得到回应。Telegram 一位发言人在声明中告诉我：「虽然 Telegram 会尽一切努力保护账号，但任何平台都无法阻止用户被骗。」 他补充说，在我联系他们后，平台已冻结了这位对冲基金投资者的账号。

我也联系了真正的 Adam Swick。从 2 月初开始，就有人在 Telegram 上冒充他，这位前 MARA 高管收到无数短信和电话，质问他为什么要约会议。他每次都只能道歉。

「但有些人会反问我，『兄弟，你道什么歉？』」 Swick 说。「我就只能说：『我不知道，我在替假的我道歉吧…… 真的很抱歉发生这种事。』」

Swick 不知道黑客为什么要冒充他，而我的线人也不清楚自己的 Telegram 是怎么被盗的。但在通话快结束时，我们俩突然找到了可能的答案。

在这位投资者的 Telegram 被盗前，最后联系的人里就有一个假冒的 Swick。「我跟他开了个 Zoom 会，他那边音频连不上，」 我的线人说。「我隐约记得当时下载了什么东西。」

换句话说，我的线人很可能就是被同一伙黑客盯上了。在我们意识到他的电脑可能也已被感染后，这位对冲基金投资者立刻挂了电话，格式化了自己的电脑。

我在 Telegram 上给假冒的 Adam Swick 发了条消息：「这个账号是由朝鲜黑客控制吗？」

至今，我还没有收到任何回复。